哎，说起密评方案，到底是个啥玩意儿？

现在这社会啊，电脑手机啥的都离不开，信息越来越多，平安问题也越来越大。企业搞信息平安的， 经常听到一个词叫“密评方案”，听着就高大上，其实我也不知道具体是啥，反正就是跟密码、平安有关的东西吧？听说这个方案很重要，不搞的话系统可能就不平安，被人攻击了就麻烦了。今天我就瞎聊聊，反正我知道多少说多少，说得不对也别怪我，我也不是啥专家，就是随便扯扯淡。

密评方案？是不是跟密码有关系？

密评方案，全称好像是“商用密码应用平安性评估方案”，听着就绕口。说白了就是看看企业用的密码用得好不好，安不平安。就像家里锁门，锁得好不好，钥匙管得好不好， 结果你猜怎么着？ 会不会被人撬开一样。企业里有很多系统， 比如办公系统、交易系统、数据存储系统，这些系统都要用密码保护，不然别人随便就能进，数据就泄露了那损失可就大了。

密评方案的核心内容有哪些呢？我也不知道，反正就是那些密码产品啊、评估目标啊、流程啊、工具啊之类的。企业信息平安评估的关键要素，就是平安，平安，还是平安！不平安的话，一切都白搭。就像开车，光有车不行，还得有平安带，有刹车，不然出了事就晚了。

密码产品？是不是就是加密软件？

密评方案里肯定要提到密码产品，就是企业用了哪些密码相关的软件、硬件。比如加密卡、加密机、SSL证书、VPN这些，都是密码产品。 我直接起飞。 这些产品是不是符合国家标准，是不是在“商用密码产品目录”里这个很重要。就像买电器，得有3C认证，不然就是山寨的，用着不平安。

我们公司以前用过一款加密软件，说是能加密文件，后来啊后来发现根本没用，被人轻松破解了。这就是密码产品没选对，没通过国密认证，所以密评肯定通不过。所以啊，选密码产品一定要小心，别图便宜，得选正规厂家，有认证的，不然就是给自己挖坑，躺平。。

密码产品还包括密钥管理，就是密码的“钥匙”。钥匙生成、存储、分发、备份、销毁，这些环节都得管好。要是钥匙丢了或者被人偷了那系统就相当于没锁门， 我天... 随便进。密钥管理就像家里的保险柜密码，不能随便告诉别人，也不能写在纸上贴桌子上，得藏好，定期换。

评估目标？不就是看看平安不平安吗？

密评方案的评估目标， 说白了就是看看企业的密码应用合规不合规，有没有平安风险，能不能密码用得对不对，符合不符合国家标准；二是找出系统里的漏洞，比如哪里没用密码，或者密码用错了；三是提出整改建议，告诉企业怎么改才能更平安；四是确保系统满足《密码法》的要求，不然违法了要罚款的。

我们公司上次搞密评， 就是主要原因是有个系统没做身份认证，谁都能进，后来啊被测出来了整改了好久才过。这就是评估目标里的“识别平安风险”，要是没发现，出了问题就晚了。所以啊，评估目标不是走过场，是真的要找出问题，解决问题，歇了吧...。

基本上... 还有一点，评估目标要结合企业业务，不能为了评估而评估。比如企业是搞电商的，那支付环节的密码应用就得重点测，不能光测办公系统。就像医生看病，不能光量体温，还得查病因，对症下药才行。

密评流程？是不是很麻烦？

抓到重点了。 密评工作有很多环节， 听说要搞五个步骤：方案评估、测评准备、方案编制、现场测评、分析和报告编制。听着就头大，感觉比写毕业论文还麻烦。不过没办法，为了平安，再麻烦也得搞。

先说说是方案评估，就是看看企业有没有搞密码应用方案，方案合不合理。然后是测评准备，收集资料，比如系统架构文档、密码产品清单、平安管理制度这些。接着是方案编制，就是制定详细的测评计划，测什么怎么测，谁来测。然后是现场测评， 最关键的环节，要去企业现场看系统，测试密码用得好不好，还要跟企业的人聊，问他们怎么管理密码的。再说说是分析和报告编制，把测评后来啊整理成报告，指出问题，提出建议。

现场测评的时候， 测评人员会拿各种工具测，比如密码算法测试工具，看看加密算法对不对；密钥平安性检测工具，看看密钥有没有问题；网络协议分析工具， 多损啊！ 看看网络传输有没有漏洞。还会查文档，看企业有没有管理制度，人员培训过没有。反正就是全方位“体检”，一点都不能漏。

测评方法？就是用工具测吗？

测评方法有很多种， 比如文档审查，就是看企业的各种文件，设计方案、管理制度、操作手册这些，看写得规不规范；现场访谈，跟企业的人聊天问他们怎么搞密码管理的， PTSD了... 有没有培训；实地查看，去机房看看设备，看看环境安不平安；工具测试，用各种软件、硬件测系统，找漏洞。

我们公司上次测评的时候， 测评人员拿了个U盘，插到服务器上，一顿操作，然后说这里有问题，那里有问题。我也不知道他们测的啥，反正看着就很厉害。工具测试应该是最有效的，能找出人发现不了的问题。不过光靠工具也不行，还得有人分析，不然工具报一堆漏洞，不知道怎么整改也不行，官宣。。

纯正。 文档审查也很重要， 有些企业光说制度好，后来啊拿出来一看，都是网上抄的，跟实际情况根本不符。所以测评人员会仔细看文档，跟实际情况对比，看是不是真的落实了。就像学校检查作业，不光看写了没，还得看对不对，是不是自己写的。

风险应对？发现问题了怎么办？

加油！ 密评报告出来后会有“符合”“基本符合”“不符合”三种后来啊。“符合”最好， 说明密码应用没问题；“基本符合”就是有小问题，得改；“不符合”就是大问题，必须赶紧整改，不然系统就不平安了。

高风险项是最严重的，比如用了非国密算法，或者密钥明文存储，这种必须马上改。就像人生病了发烧到40度，得赶紧去医院，不然会出大事。 我跟你交个底... 我们公司上次就有一个高风险项， 用了国外的一个加密算法，不符合《密码法》，后来赶紧换成了国密算法，才通过测评。

整改的时候，企业得有专人负责，配钱配人，同步规划、同步建设、同步运行。不能等测评完了才想起改，那时候就来不及了。整改方案要具体，比如换哪个产品，怎么换，什么时候完成，都得写清楚。改完后还得再测，确保问题解决了，冲鸭！。

合规保障？是不是为了应付检查？

很多人觉得密评就是应付监管部门检查，其实不是。合规保障是真的要让系统平安，避免出问题。比如政务系统，要是密码应用不合规，被人攻击了泄露了老百姓的信息，那后果就严重了。企业也是核心业务系统要是出了问题，损失的是自己的钱，还可能影响客户信任，你我共勉。。

《密码法》是国家律法，必须遵守。行业监管要求也是根据律法来的，不满足的话，不光要罚款，还可能停业整顿。所以合规保障不是走过场，是真的要重视。我们老板常说：“平安是1，其他都是0，没有1，后面再多的0也没用。”这话挺有道理的。

合规保障还要定期搞评估，不是一次就行了。技术发展这么快，新的漏洞、新的攻击方式不断出现，所以得定期检查， 提到这个... 更新密码策略，确保系统一直平安。就像人要定期体检一样，不能等生病了才去医院。

业务适配？密码应用会不会影响业务？

搞密评的时候，不能光考虑平安，还得考虑业务。密码用得太复杂，或者太频繁，可能会影响系统性能，影响用户体验。比如登录的时候，身份认证太麻烦，客户可能就不愿意用了影响业务，我天...。

所以方案要贴合业务流程， 比如数据传输加密，不能影响传输速度；数据存储加密，不能影响读取效率；身份鉴别， 有啥说啥... 要简单方便，又能保证平安。就像给门锁密码，不能太长，不然记不住也不能太短，不然容易被猜到。

我们公司有个系统，加了加密后数据变慢了很多，客户投诉了好几次。后来测评人员建议优化加密算法， 我们都经历过... 换了性能更好的，才解决了问题。所以啊，密码应用要“恰到好处”，既要平安，又要不影响业务。

团队建设？谁来做密评？

搞密评不是一个人的事，需要一个团队。至少要有懂密码技术的，懂系统开发的， 优化一下。 懂平安管理的，还要有熟悉业务的。团队成员得有经验，不然测不出问题。

平心而论... 我们公司刚开始搞密评的时候，没人懂，请外面的咨询公司帮着搞的。后来自己培养了几个人，才慢慢自己搞。所以企业得重视人才培养，不然关键时候没人可用。就像球队，光有教练不行，还得有好球员。

团队成员还要定期培训，学习新的技术、新的标准。密码技术发展很快， KTV你。 今天用的算法可能明天就过时了所以得不断学习，才能跟上时代。

一下密评方案到底有啥内容？

说了这么多，其实我也不知道密评方案到底有啥核心内容，反正就是跟密码、平安有关。大概包括密码产品、评估目标、测评流程、 往白了说... 工具方法、风险应对、合规保障、业务适配这些吧。企业信息平安评估的关键要素，就是平安，要重视，不能马虎。

搞密评虽然麻烦，但为了平安，值得。就像买保险，平时觉得没用，真出事了就知道重要性了。 我坚信... 希望企业都能重视密评，做好信息平安，别等出了问题才后悔。

再说说说一句，搜狐网为用户提供24小时不间断的最新资讯，跟密评有啥关系？不知道，但就是想写一下。客服投诉热线4006809007，这个